Skuld Malware

Nový malware pro shromažďování informací zvaný Skuld, napsaný v programovacím jazyce Go, úspěšně kompromitoval systémy Windows v Evropě, jihovýchodní Asii a USA.

Skuld je speciálně navržen tak, aby ukradl citlivé informace od svých obětí. K dosažení tohoto cíle využívá různé techniky, včetně vyhledávání dat v aplikacích, jako je Discord a webové prohlížeče, a také získávání informací ze samotného systému a souborů uložených ve složkách oběti.

Zajímavé je, že Skuld vykazuje podobnosti s jinými veřejně dostupnými sběrateli informací, jako jsou Creal Stealer, Luna Grabber a BlackCap Grabber. Tyto překrývající se charakteristiky naznačují potenciální spojení nebo sdílený kód mezi těmito kmeny malwaru. Skuld je považován za výtvor vývojáře, který působí pod online pseudonymem Deathined.

Malware Skuld může ukončit předem určené procesy v narušeném systému

Po spuštění malware Skuld využívá několik únikových technik, které brání analýze, včetně kontroly, zda běží ve virtuálním prostředí. Toto je děláno, aby bránilo výzkumníkům v úsilí porozumět jeho chování a funkčnosti. Skuld navíc extrahuje seznam aktuálně spuštěných procesů v infikovaném systému a porovná jej s předdefinovaným seznamem blokovaných. Pokud se některý proces shoduje s těmi, které jsou v seznamu blokovaných, místo aby se sám ukončil, Skuld přistoupí k ukončení shodného procesu s potenciálně s cílem neutralizovat bezpečnostní opatření nebo bránit detekci.

Kromě shromažďování systémových metadat má Skuld schopnost shromažďovat cenné informace, jako jsou soubory cookie a přihlašovací údaje uložené ve webových prohlížečích. Zaměřuje se také na konkrétní soubory umístěné ve složkách uživatelského profilu Windows, včetně Plocha, Dokumenty, Stažené soubory, Obrázky, Hudba, Videa a OneDrive. Zaměřením na tyto složky se Skuld snaží získat přístup k citlivým uživatelským datům, včetně osobních souborů a základních dokumentů, a potenciálně je exfiltrovat.

Analýza artefaktů malwaru odhalila jeho úmyslný záměr poškodit legitimní soubory spojené s Better Discord a Discord Token Protector. Tato ohrožující aktivita naznačuje pokus narušit fungování legitimního softwaru používaného uživateli Discordu. Kromě toho Skuld využívá techniku podobnou jinému infostealeru založenému na programovacím jazyce Rust, kde vkládá kód JavaScript do aplikace Discord pro extrahování záložních kódů. Tato technika podtrhuje sofistikovanou povahu schopností společnosti Skuld shromažďovat informace a její záměr kompromitovat uživatelské účty a získat přístup k dalším důvěrným informacím.

Malware Skuld může provádět další ohrožující aktivity

Některé vzorky malwaru Skuld prokázaly zahrnutí modulu clipper, který je určen k manipulaci s obsahem schránky. Tento modul umožňuje Skuldovi zapojit se do krádeže kryptoměn nahrazením adres kryptoměnových peněženek těmi, které ovládají útočníci. Je možné, že modul clipper je pravděpodobně stále ve vývoji, což naznačuje potenciální budoucí vylepšení schopností Skuld při krádeži kryptoměnových aktiv.

Exfiltrace shromážděných dat se dosahuje dvěma primárními metodami. Za prvé, malware využívá webhook Discord řízený aktérem, který útočníkům umožňuje přenášet ukradené informace do jejich infrastruktury. Alternativně Skuld využívá službu nahrávání Gofile, nahrání shromážděných dat jako soubor ZIP. V tomto případě je útočníkovi zaslána referenční adresa URL pro přístup k nahranému souboru ZIP obsahujícímu exfiltrovaná data pomocí stejné funkce webhooku Discord.

Přítomnost Skuld a jeho vyvíjejících se funkcí ukazuje rostoucí trend mezi aktéry hrozeb využívat programovací jazyk Go. Jednoduchost, efektivita a kompatibilita mezi platformami Go z něj činí atraktivní volbu pro útočníky. Využitím Go se mohou aktéři hrozeb zaměřit na více operačních systémů a rozšířit své potenciální oběti, což zdůrazňuje potřebu robustních bezpečnostních opatření napříč různými platformami.